Case Study – arvato Systems

arvato Systems - Information Security Management mit der QSEC-Suite der WMC GmbH

Entscheidungskriterien und Anwendungsverfahren zu Betrieb und Zertifizierung eines ISMS mit Softwareunterstützung.

Ganzheitliche Informationssicherheit ist eine wesentliche Managementaufgabe für Systemintegratoren und IT-Dienstleister. arvato Systems hat das schon früher als andere Unternehmen erkannt und bietet seinen Kunden seit vielen Jahren Sicherheit mit Brief und Siegel: Das Unternehmen wurde bereits Ende 2002 erstmalig gemäß BS7799 zertifiziert, seit Februar 2006 ist es auch nach ISO 27001 zertifiziert. Schon im Rahmen der Erstzertifizierung hatte sich arvato Systems zum Einsatz einer Softwarelösung als Basis für das benötigte IT-Risikomanagement entschieden. Aufgrund steigender Anforderungen, die mit dieser Software perspektivisch nicht mehr abgedeckt werden konnten, begann das Unternehmen im Jahr 2008 dann mit einer Marktevaluierung. Gesucht wurde eine „State of the  Art“-Software die in der Lage ist, ein Information Security Management System nach internationalen Standards wie der ISO 27001 abzubilden und die zusätzlich diversen weiteren Anforderungen entspricht. Dazu gehörten zum Beispiel:

  • Ausgeprägte Flexibilität, um die zur Organisation passenden Prozesse und Methoden optimal abbilden zu können
  • Ein flexibles Berechtigungskonzept, um die unterschiedlichen Rollen in den Prozessen abzubilden
  • Umfassende und individuelle Auswertungsmöglichkeiten, um schnell und einfach die wichtigen Informationen herauszufiltern
  • Eine einfach zu bedienende Oberfläche, in der sich auch Mitarbeiter zurechtfinden, die das Tool nur selten nutzen
  • Verfügbarkeit von notwendigen Schnittstellen, um vorhandene Datenbestände zu nutzen und Redundanzen zu vermeiden
  • Problemlose Erweiterbarkeit (z.B. weitere Compliance Standards), um auch künftige Anforderungen erfüllen zu können
Klarer Sieger des umfangreichen Evaluierungsprozesses war die QSEC-Suite der WMC (Wüpper Management Consulting) GmbH. Das Votum war eindeutig: Von allen evaluierten Systemen konnte die QSEC-Suite die arvato Systems Anforderungen am besten erfüllen und der Migration vom alten Tool hin zu QSEC stand nichts mehr im Wege.

„Mittels der gut durchdachten Templates wurde in wenigen Workshops die Grundkonfiguration für ‘unser‘ ISMS in der QSEC-Suite erfasst und umgesetzt. Bei der Festlegung der Geschäftsprozessebenen und des damit verbundenen IT-Risk Managements hatten wir mit WMC einen Sparringspartner auf Augenhöhe, der uns in nur drei intensiven Diskussionsrunden half, die richtige Lösung für die Umsetzung ‘unseres‘ ISMS zu verabschieden,“ so Roger Schranz, Projektleiter und Information Security Manager bei arvato Systems.

Mit einem eintägigen Intensivkurs wurden zwei Mitarbeiter in die Lage versetzt, die vorhandenen Dokumente in das Dokumentenmanagement und die Controls im Compliance Management zu bearbeiten und zu füllen. Nach nur 5 Monaten war das für das Audit benötigte Risiko-Assessment mit der QSEC-Suite durchgeführt, die Compliance Controls gepflegt und alle benötigten Dokumente verknüpft.
Seitdem nutzt arvato Systems die Vorteile der QSEC-Suite vollständig und partizipiert von einem signifikant minimierten Trackingaufwand für die Pflege und Aktualisierung. Zwischenzeitlich sind ca. 500 Mitarbeiter mittels des sauber definierten Berechtigungskonzeptes zur Unterstützung des Zertifizierungsprozesses involviert.
Roger Schranz, Projektleiter und Information Security Manager bei arvato Systems: „Manche Dinge werden erst im gemeinsamen Gehen deutlich – wir hatten von Anfang an den Eindruck mit der QSEC-Suite nicht nur ein Tool, sondern mit WMC einen Partner gefunden zu haben, der an einem intensiven Dialog und einer beständigen Weiterentwicklung und den damit verbundenen Verbesserungen interessiert ist. Dies hat sich so bestätigt – und wenn es mal schnell gehen musste, klappte das auch ohne Eskalationsmanagement.“
Im Februar 2011 hat arvato Systems bereits die zweite Begutachtung zur Systemförderung mit der QSEC-Suite erfolgreich absolviert.

Fazit:
Die QSEC-Suite ist für arvato Systems in mehrfacher Hinsicht ein Beispiel für ein erfolgreiches Projekt und effizienten Softwareeinsatz. Alle im Vorfeld definierten Anforderungen zur Erweiterbarkeit, Flexibilität, Einfachheit und Auswertbarkeit an ein ganzheitliches Information Security Management System wurden mit der QSEC-Suite vollständig erfüllt. Die Prozesse konnten erfolgreich optimiert, die Effizienz gesteigert, gleichzeitig Kosten gesenkt und alle Audits erfolgreich bestritten werden.

Ausblick:
arvato Systems beabsichtigt jetzt, die QSEC-Suite in erweitertem Umfang einzusetzen und plant aktuell eine Einbindung des QSEC-Suite-Moduls PCI DSS in die Information Security Management Umgebung. Als Multi-Normen-Lösung bietet die QSEC-Suite mit weiteren internationalen Standards und ergänzenden Modulen wie BIA und BCM vielfältige Optimierungs- und Erweiterungsmöglichkeiten für ein Unternehmen wie arvato Systems.

arvato Systems – der Wegbereiter für neue Geschäfte
arvato Systems ist als Systemintegrator der richtige Partner, wenn es um mehr als Professional IT Services geht. Wir wissen, dass die IT das Herzstück bei der erfolgreichen Abwicklung komplexer Geschäfte ist.
Mit mehr als 1.650 Mitarbeitern und einem Umsatz von über 230 Millionen Euro gehören wir zur arvato AG, dem Medien- und Kommunikationsdienstleister der Bertelsmann AG.
arvato Systems bietet neben der Implementierung von Standard-Software maßgeschneiderte, branchenspezifische und individuell entwickelte Lösungen. Wir verbinden intensives Branchen-Know-how mit Hersteller übergreifendem technologischen Wissen und kombinieren Systemintegration intelligent mit Entwicklung, Abbildung, Betrieb und Betreuung von Systemen.
Dabei sind wir in der Lage, gesamte Wertschöpfungsketten zu gestalten: arvato Systems bildet Geschäftsprozesse in der IT ab und ergänzt sie mit den Dienstleistungen der arvato AG zu einem ganzheitlichen Leistungsangebot aus einer Hand.
Diese einzigartige Kombination ermöglicht es uns, nicht nur maßgeschneiderte Lösungsvorschläge zu erarbeiten, sondern die besten Lösungen professionell, umfassend und pragmatisch im Sinne des Kunden zu realisieren. Den Erfolg unserer Kunden nehmen wir persönlich und geben ihrer IT ein Gesicht.
Das macht uns zum Wegbereiter für neue Geschäfte.

Casy Study – ISMS arvato Systems hier herunterladen